Exatel opublikował raport „Cyberbezpieczeństwo 2022 Trendy i rozwiązania z uwzględnieniem perspektywy Exatel”.
Operator podaje, że od początku 2021 r. jego SOC (Security Operation Center) co miesiąc identyfikował około 1400 naruszeń cyberbezpieczeństwa u swoich klientów. Eksperci nie zidentyfikowali skutecznych ataków z wykorzystaniem oprogramowania ransomware. W ocenia Exatela było to możliwe dzięki temu, że klienci, których obsługuje firma, mają zabezpieczenia, które skutecznie eliminują zagrożenia, pracowników, którzy są dobrze przygotowani i świadomi zagrożeń dzięki programom szkoleniowym z zakresu cyberbezpieczeństwa.
Eksperci SOC Exatele zwracają m.in. uwagę na phishing, bowiem wykryli u swoich klientów dużą liczbę podejmowanych prób phishinowych – średnio 100 prób miesięcznie. Nośnikiem dla ataków tego rodzaju była najczęściej poczta elektroniczna. Część przychodzących wiadomości e-mail miała dołączony „złośliwy” link, który prowadził np. do strony wyłudzającej informacje, a pozostałe zawierały załączniki ze „złośliwym” oprogramowaniem. Widoczne jest także, że coraz więcej prób dostarczania użytkownikom podejrzanych plików odbywa się poprzez linki. „Złośliwe” pliki w załącznikach zdarzają się rzadziej – zwłaszcza te z pakietu Microsoft Office z makrami VBA (Visual Basic for Applications), chociaż w ich miejsce pojawiają się takie, które pozwalają atakującemu na interakcję z systemem ofiary.
SOC Exatela wykrywał też próby ataków typu commodity malware i złośliwe oprogramowanie, takie jak Emotet czy Agent Tesla (przed tym drugim ostrzegał też CERT Polska). Agent Tesla znajdował się w e-mailach zawierających jedynie plik IMG, którego otwarcie mogło spowodować utratę danych wrażliwych. Jednak średnia liczba prób dostarczenia commodity malware pojedynczemu użytkownikowi w organizacjach monitorowanych przez Exatel wynosiła tylko około 0,8 na miesiąc. Skutecznie przedostawały się jedynie pojedyncze e-maile. A świadomy i czujny użytkownik mógł szybko i bezpiecznie je zneutralizować.
Inne incydenty dotyczyły prób wykorzystania podatności, z których tylko niewielka część zakończyła się sukcesem. Prób skanowania było jednak zdecydowanie więcej – od kilkunastu do nawet kilkuset miesięcznie. Zależało to od tego, czy atakujący działał masowo, czy tylko punktowo prowadził rozpoznanie technologiczne. Pokrywa się to z ustaleniami ekspertów Palo Alto Networks, którzy obok phishingu i ataków brute-force, właśnie wykorzystanie podatności zaliczyli do wektorów najczęściej wykorzystywanych przez atakujących.
SOC Exatela identyfikował też umieszczanie webshelli na serwerze świadczącym usługę WWW oraz aktywności użytkowników określane jako tzw. „insider threats”, czyli wykorzystanie zasobów firmowych do celów prywatnych. Były to na tyle zaawansowane incydenty, że wymagały obsługi przez 2 oraz 3 linię SOC. Zwykle zespoły 2 i 3 linii angażowane są wtedy, gdy trzeba połączyć wiedzę ekspercką z często niestandardowymi działaniami, aby zniwelować skutki cyberataku.
Specjaliści SOC Exatela znaleźli i zidentyfikowali również incydenty wymierzone w inne usługi zewnętrzne, takie jak dostęp do poczty korporacyjnej poprzez webmail czy systemy typu e-commerce oraz CRM. Te ataki były efektami m.in. udanego phishingu i uruchomienia złośliwego pliku przez użytkownika końcowego czy też wykorzystania istniejących podatności.
Eksperci Exatela wskazali także na problem nadmiarowego udostępniania usług do internetu, takich jak interfejsy administracyjne, usługi SSH12 czy zdalne pulpity. Szczególnie częste było to w czasie pandemii COVID-19. Zdarzały się nawet takie sytuacje, że pod jednym adresem IP znajdowało się kilka wystawionych usług, a użytkownik nawet o tym nie wiedział.
Czas obsługi wykrytych incydentów wahał się od kilku dni do nawet kilku miesięcy.
Aby osiągnąć cele polityczne, ideologiczne, społeczne, ale również finansowe, hakerzy bardzo często stosują ataki rozproszonej odmowy dostępu do usługi (Distributed Denial of Service – DDoS). Naruszenie dostępności danej usługi, jak np. dostępu klientów do sklepu, może powodować odpływ tych klientów, którzy nie mogą korzystać z możliwości zakupu. W efekcie przechodzą więc do konkurencji. Ataki tego typu są relatywnie łatwe do przeprowadzenia oraz nie wymagają dużych zdolności IT. Wzrost liczby ataków DDoS widać też w statystykach Exatela. Całkowita liczba mitygacji ataków w okresie od stycznia 2021 r. do lipca 2022 r. wyniosła ponad 22 tys. – średnio ponad 1000 miesięcznie.
Aby odeprzeć próby cyberataków, eksperci stosują 2 główne metody. Pierwszą z nich jest filtrowanie ruchu IP. Polega ono na tym, że po wykryciu ataku cały ruch do atakowanego adresu IP zostaje przekierowany do jednostki czyszczącej. Jej celem jest odrzucenie pakietów powiązanych z atakiem i przepuszczenie tych, które są związane z ruchem prawidłowym. Druga, najbardziej elementarna, metoda mitygacji ataku to blackhole, czyli odrzucenie wszystkich pakietów IP skierowanych do atakowanego adresu. Wówczas nie weryfikuje się składników, które są „wrogie”, a które są elementem normalnego ruchu. Ma to jednak pewne minusy, ponieważ jeden (atakowany) adres na czas trwania ataku traci możliwość komunikacji. Z drugiej strony, dzięki temu pozostałe zasoby sieciowe danego klienta mogą korzystać z sieci w sposób niezakłócony. Ta metoda jest dobrym rozwiązaniem zwłaszcza dla użytkowników, którzy mogą pozwolić sobie na przerwy w komunikacji, a ich budżet przeznaczany na zabezpieczenia jest mocno ograniczony.
SOC Exatela zauważył, że w okresie wakacyjnym w 2021 r. liczba przeprowadzanych ataków DDoS zmalała. Jednak spadek aktywności cyberprzestępców niekoniecznie wiązał się z wielkością ataków. Dla przykładu w lipcu 2021 r. odnotowano mniej ataków, a jednocześnie w tym miesiącu zarejestrowano jeden z największych ataków.
Na początku 2022 r. hakerzy znów zwiększyli swoją aktywność. Charakterystyka ich działalności pokazuje, że miało to bezpośredni związek z wojną w Ukrainie. Obserwacje Exatela są tutaj tożsame z ustaleniami ekspertów Cloudfare, którzy również zidentyfikowali zwiększoną liczbę ataków DDoS w związku z rosyjską agresją 24 lutego 2022 r. Cyberataki były wymierzone zarówno w obiekty rosyjskie, jak i ukraińskie oraz zachodnie. Dlatego w opinii Exatela uzasadnione jest utrzymanie w cyberprzestrzeni poziomu alarmowego Charlie-CRP17.
Exatel podaje, że każdy atak trwa średnio 10 minut. Jednak takie działania często prowadzone są seriami (np. około 10 minut ataku, przerwa, i kolejny atak). Trwa to nierzadko przez kilka kolejnych dni. Obecnie najpopularniejsza metoda radzenia sobie z atakami, to odrzucanie całości ruchu do atakowanego celu (adresu lub adresów IP). Widać jednak, że coraz więcej podmiotów wykorzystuje mechanizmy filtrujące, których celem jest zachowanie ciągłości działania infrastruktury.
